Capitulo 4

Configuracion de Politicas

Todos los dispositivos de firewall utiliza algún tipo de declaración que proporciona control de acceso entre dos segmentos de una red.

Cada producto implementa un diferente control de acceso, sin embargo se parecen por lo que si anteriormente hemos usado un firewall, entonces esta parte va a ser relativamente más fácil.

Politicas Netscreen

Las políticas permiten, deniegan o envían por un túnel traficos específicos entre dos puntos. Su equivalente en un cisco Pix serian los acceses-list, y en un Ckeckpoint Firewall serian los firewall rule.

Las políticas son simples declaraciones configuradas, las cuales tienen 5 componentes principales:

Sentido o Direccion: Esta basado en las diferentes zonas de seguridad, se deben de definir dos zonas de seguridad en cada política. La primera zona es el origen del trafico, mientras que la segunda es la zona de destino.

Source Address: La dirección IP de origen de los host. Se puede utilizar la palabra any para cualquier dirección de origen.

Destination Address: las direcciones IP de destino, como minimo debe de declararse la dirección de un host, también se puede declarar con .

Service: Este campo define a que aplicación queremos acceder. Puede ser por puerto o protocolo. (ICMP, IP, UDP, etc). Tambien se puede definir la palabra any que indica para cualquier tipo de servicio que se quiere acceder.

Action: Puede ser permitir, denegar o tunnel. Esta ultima acción es solo permitia cuando el trafico pasa a través de un túnel VPN, el cual tiene que ser declarado antes.

Asimismo hay otros componentes que son declarados dependiendo de la política creada:

Logging: Para resolución de problemas, son log que quedan almacenados en un servidor.

NAT: Sirve para esconder la IP de origen, y es casi siempre usado en la red interna. Traffic Shaping: Permite controlar la cantidad de Ancho de Banda que se puede

consumir. Counting: Sirve para crear graficos acerca del trafico que esta pasando a través de

esa política. Traffic Alarm: Permite generar una alerta cuando el numero de bits por segundo o

byte por minuto es excedido. Antivirus Scanning: Permite scanear los datos que atraviesan el firewall.

Sheduling: Permite crear una política que tiene efecto en ciertos rangos horarios. Por ejemplo que los usuarios puedan navegar en internet en ciertas horas.

URL Filtering: Limita el acceso a ciertas web sites, otras las deniega. User Authentication: Permite autenticarse antes de que pase a través del Firewall.

Teoria de Acceso de Control

En un NetScreen Firewall, por defecto existe una regla que deniega todo, a menos de que exista una regla de mayor jerarquía que permita el trafico. Es parecido a un Access-list de cisco.Recomendación: Crear reglas mas especificas primero, y luego reglas menos especificas.Por ejemplo según la siguiente figura tenemos:

La explicación es: (Pagina 180)

Let’s look at an example. Figure 4.1 shows an example of policy ordering.This is a screenshot of a NetScreen policy.There are three policies in this

example. In the first policy you see the source is very specific with only one host(WebMaster) connecting to a single destination (WebServer).This is the mostspecific policy in this example.The first policy only allows one single system to

www.syngress.comPolicy Configuration • Chapter 4 179

connect to another single system. In the second policy, any host can connect tothe destination WebServer with only HTTP (Hypertext Transfer Protocol).This

is a less specific policy as it allows literally any host to connect to WebServer, aslong as it uses the proper protocol. In the last policy, any host can connect to the

destination “FTP Servers” with the File Transfer Protocol (FTP).This is the leastspecific policy as it allows any host to connect to the group of FTP servers.

El campo ID es creado automaticamente cuando se crea una politica via WEB, pero cuando creamos via CLI este campo puede ser editado.En cada política se requiere una zona origen y una zona destino.

Tipos de NetScreen Policies

En NetScreen existen 3 tipos de políticas. Estas políticas siguen conservando los 5 componentes principales.Lo único que lo diferencia son las zonas origen y las zonas de destino. De acuerdo a esto tenemos:

Politicas IntraZona: La zona de origen y destino son iguales. Politicas InterZona: La zona de origen y destino son diferentes. Politicas Globales: Es cuando la zona de origen y destino están ambas

definidas en la zona global.

Politicas Intrazona: Puede ocurrir que diferentes interfaces de un firewall estén en la misma zona. Por defecto el trafico dentro de la misma zona no esta bloqueado. Se puede habilitar la opción de bloquear el trafico intrazona.

Para habilitar el bloqueo intrazona se utiliza el comando:

Net-GC > Set zone zonename block

Y para deshabilitar:

Net-GC > unset zone zonename block

Zonename: Nombre de la zona.

Politicas Interzona: es lo mas común que vamos a encontrar en un firewall, no hay cambios en la configuración para cambiar el comportamiento interzonal.

Politicas Globales: Son usados cuando se quiere permitir o denegar un tipo de trafico sin importar el tipo de zona. Como se ve en la figura 4.2, el orden donde se colocan las políticas globales es indiferente de la zona de origen.

Politicas por Defecto: Por defecto el firewall tiene una política de descartar cualquier trafico que no coincida con otras politcas. Es una política que esta escondida dentro de políticas globales. Es posible cambiar este comportamiento desde CLI.

El comando para invertir esta política por defecto seria:

Net-GC > Set-policy default-permit-all

Para deshabilitar este commando, cambiamos la palabra set por unset.

Policy Checking

Si una conexión es permitida, esta crea una sesión en la tabla de sesión, la cual es una tabla que esta almacenada en la memoria del Firewall. Esta contiene una lista de todas las sesiones permitidas y que han pasado a través de una política. Antes que la conexión sea comparado con las políticas, primero es comparada en la tabla de sesión, para si ya existe una conexión permitida de este trafico. Si es asi, ell tráfico es permitido a través del firewall.

Dirigirse a pagina 184. (Breve resumen de requisitos para crear una politica)

Zonas

Al momento de crear una política, se deben de definir tanto las zonas de origen y salida. Estas zonas están ligadas a las interfaces, por lo que también se pueden asociar a las interfaces de origen y destino.

Entradas Address Book

Revisar pagina 187 como se crea via WEB.

Es cuando queremos asociar un nombre a una pc, rango IP, etc. Asimismo este nombre esta asociado dentro de una zona, la cual se especifica al momento de crear.

Por ejemplo: any -> 0.0.0.0/0

VPN -> 255.255.255.255/32

Para crearlo manualmente por CLI tenemos:

Net-GC > set address zone name IPaddress “coment”

Por ejemplo podemos ingresar el siguiente omando:

Net-GC > set address untrust WebServer 10.2.2.2/32 “This is Darren’s Web Server”

Para modificar, primero lo eliminamos con unst y luego lo podemos volver a crear con set.

Address Group

Sirve para agrupar varios objetos, pueden ser rangos de IP, PCs especificas, etc. Revisar Pagina 191 para creación via WEB.

Para crearlo manualmente debemos de tipear:

1) Net-GC > set group address zone groupname comment “comentario”2) Net-GC > set group address zone groupname add addressname

Services Object

Pagina 192

Actualemente el IOS de Juniper tiene 8 servicios predefinidos.

Un services objet puede asociar un rango de puertos origen y destino, asimismo también se puede modificar el timeout, el cual es el tiempo en que el service sesión esta open.

Services Group

Similiar a addres group, asocial un conjunto de servicios en un container logico.

Creacion de Politicas

En esta parte vamos a crear políticas en partes separadas, primero a través de la interece WEB y luego por CLI.

En esta pestaña podemos crear, eliminar, buscar, habilitar, deshabilitar y clonar políticas.

Como se puede observar en la figura, hay una política con any source, any destination via any protocol (Permit).

Ingresar a la pagina 198, para ver los pasos que se siguen al crear una política.

Campo Posicion at top: Para colocar la política creada primera en la lista de políticas.

Opcion Negate: Sirve para denegar una subred por ejemplo tanto en source address o destination address.

Por ejemplo si creamos una política con los siguientes datos:

Source: 10.10.10.0/24 Negate

Destination: any, Service: FTP , Action: Permit.

En este caso estamos creando una politica que permita cualquier source a excepción de 10.10.10.0/24. Con esto resumimos por ejemplo dos políticas, la primera que deniega la red 10.10.10.0/24 y la segunda que permite any to any.

Creacion de una política via CLI

Pagina 203

Para crear una política con comandos, debemos tener presente 3 comandos:

Set policy: es la raíz de la creación de la política. Get policy: muestra la información de todas o de algunas políticas específicas. Unset policy: Elimina la política.

Crear una política via CLI, requiere los mismos componentes que si lo hubiéramos creado via web.El comando para crear políticas es:

Net-Gc > set policy from <SrcZone> to <DstZone> <SrcAddress> <DstAddress> <Service> <Action>

Una vez creado la politica. el firewall te da un ID. Este ID es el identificador que utiliza el sistema para referirse a la política. Para editar partes de la política, agregar source address, servicios, etc colocamos en el CLI:

Net-GC > set poicy id <ID>

Luego entramos a un submenu: “ Net-Gc (policy-id) > “ donde podemos utilizar los commandos set, get, unset.

Unset: utilizado para remover parte de las política.

Para ubicar la política en una posición especifica anterior a una política, utilizamos el campo before <ID>

Net-Gc > set policy before <ID> from <SrcZone> to <DstZone> <SrcAddress> <DstAddress> <Service> <Action>

La politica creada se va a colocar una posicion antes del ID de la politica especificada en el campo before.

Para colocar una política en la parte superior de todos, se reemplaza la palabra before por top.

Net-Gc > set policy top from <SrcZone> to <DstZone> <SrcAddress> <DstAddress> <Service> <Action

Como ejemplo ponemos la creacion de una politica:

Syngress-> set policy from trust to untrust 10.10.10.0/24 any FTP permitpolicy id = 6Syngress-> get policy id 6name:"none" (id 6), zone Trust -> Untrust,action Permit, status "enabled"src "10.10.10.0/24", dst "Any", serv "FTP"

Policies on this vpn tunnel: 0nat off, url filtering OFFvpn unknown vpn, policy flag 0000, session backup: ontraffic shapping off, scheduler n/a, serv flag 00log no, log count 0, alert no, counter no(0) byte rate(sec/min) 0/0total octets 0, counter(session/packet/octet) 0/0/0priority 7, diffserv marking Offtadapter: state off, gbw/mbw 0/-1No AuthenticationNo User, User Group or Group expression setSyngress-> set policy id 6Syngress(policy:6)-> set service DNSSyngress(policy:6)-> set src-address 10.10.9.0/24Syngress(policy:6)-> set name "Allow FTP"Syngress(policy:6)-> set logSyngress(policy:6)-> exitSyngress-> get policy id 6name:"Allow FTP" (id 6), zone Trust -> Untrust,action Permit, status"enabled"2 sources: "10.10.10.0/24", "10.10.9.0/24"1 destination: "Any"2 services: "DNS", "FTP"Policies on this vpn tunnel: 0nat off, url filtering OFFvpn unknown vpn, policy flag 0000, session backup: ontraffic shapping off, scheduler n/a, serv flag 00log yes, log count 0, alert no, counter no(0) byte rate(sec/min) 0/0total octets 0, counter(session/packet/octet) 0/0/0priority 7, diffserv marking Offtadapter: state off, gbw/mbw 0/-1No AuthenticationNo User, User Group or Group expression setSyngress->

Commandos adicionales;

Net-GC > Set policy move ID1 before ID2Net-GC > Set policy move ID1 after ID2

Donde ID1: es mi politica que quiero mover e ID2: es la politica del punto de referencia.

CAPITULO 5

CONFIGURACION AVANZADA DE POLITICAS

Como podemos observar, al momento de crear una política via web hay un botón que dice advanced. En este capitulo vamos a analizar las características de esto, entre los cuales están:

Network traffic Management Sheduling Counting Authentication

Network Traffic Management

Como sabemos, en la LAN de una empresa podemos llegar a velocidades 100 Mbps o incluso Giga, pero aun existe el problema cuando nos conectamos a la Wan, la cual el ISP provee un servicio de T1 o E1, etc.

Es la parte donde podemos priorizar tráfico, agregar QoS, etc. Asimismo podemos elaborar estrategias para priorizar el trafico de VoIP, todo en el campo de Traffic Shaping.

Beneficios de Traffic Shaping

Cada aplicación genera un tipo de trafico diferente. Estos traficos se pueden ver afectados en la red, entre los cuales pueden ser:

Aplicaciones Interactivas: este tipo de aplicación debe de responder inmediatamente luego de un input data. Por ejemplo pueden ser telnet o ssh.

Latencia Sensitive: VoIP, H323, los paquetes tienen q ser entregados en orden y en un momento especifico.

Bursty: este termino es de Juniper para enviar burst de data en vez de stream de data. Puede ser el trafico HTTP o FTP.

Novelty Traffic: para aplicaciones streaming punto a punto.

Traffic shapping: determina la prioridad en el uso del ancho de banda.

Por ejemplo para VoIP, la latencia es importante por lo que se configura dos cosas: primero q pase rápidamente a través del firewall (high priority) y segundo que tenga el ancho de banda disponible.

Packet Queuing

Cuando ingresa un paquete al firewall, es analizado por las políticas y si coincide con alguna, recién es analizado por el traffic shaping.

El traffic shaping es configurado por política, y tiene varios términos asociados:

Priority Queuing: prioridad en la cola, son 8 niveles: el 0 (HIGH PRIORITY) – BW totalmente disponible hasta el nivel 7 (LOW PRIORITY)

Guarantedd bandwith: el ancho de banda garantizado que tiene que estar disponible para el trafico.

Maximium bandwidth: Este parámetro define el máximo BW que puede utilizar los paquetes. Se puede utilizar para los protocolos HTTP, FTP, tanto para host o subredes.

Interface bandwidth: Cuanto ancho de banda están disponibles en las interfaces, si no se define este campo el firewall asume el ancho de Banda de la interface: 10 o 100 Mbps.

Diffeserv marking: permite etiqueta el paquete de acuerdo a su prioridad. Añade un bit en el campo Type of Service de la cabezera IP.

Si configuramos mal el traffic shaping, podemos llegar a tener una mala gestión del trafico.

“ Traffic shaping is a very complex process. There are many factors that come

into play in regards to designing and effective traffic shaping design. Not only

must you consider the effects of guaranteed bandwidth, maximum bandwidth,

and priority, you must also consider the protocol you are trying to shape. When

shaping a protocol, understand how that protocol works first. If possible, do a

study to determine bandwidth usage for each protocol.You may be surprised by

how each protocol performs.

One particular protocol is HTTP. I have seen many organizations configure a

poor traffic shaping policy around this protocol.Typically the HTTP protocol

does not use a great deal of bandwidth as one might assume. If the website you

are trying to traffic shape is mainly a text-based site with light images the bandwidth

consumption will be relatively low compared to a site delivering many

images or multimedia content. When you access a website, you send a small

amount of data requesting the content on the page.Then the Web server will

deliver the requested information.

The user will review the information by reading the page or looking at the

pictures, and can usually then click on a second link on the site to access more

content. For this type of website, there is no consistent passing of data, all the

data is passed in bursts. Planning for this type of application can be tough

because of its inconsistent distribution of data.This is where a study to determine

exactly how much bandwidth is used would largely benefit you.”

Vamos a ilustrar ahora dos ejemplos de traffic shaping para su entendimiento:

Ejemplo 1:

En la Lan tenemos:

Área marketing: 10.1.1.0/25 poco consumo de internet, pero si email. Area Investigacion: 10.1.1.128/25, alto consumo de internet.

En la WAN tenemos una conexión T1: 1,544 Mbps Bandwitdh.

El problema es que los de marketing pueden estar utilizando streaming traffic, el cual puede ser importante para su trabajo pero que lentea las aplicaciones del área de Investigacion.

Entonces podemos definir una política tal como:

La explicación de este cuadro la encontramos en:

We have set up three policies for the company.The first policy allows the Research department to access the Internet with the HTTP and HTTPS (HTTPSecure) protocols.This allows the Research Services department to access the websites to acquire the information they need.We are guaranteeing 512Kbps, or about 1/3rd, of the T1 because of the importance of this action.This traffic is given the high priority tag to ensure that it gets as much bandwidth as possible.

The second policy allows for the Marketing department to access streaming media.We guarantee that they will have 256Kbps for streaming media protocol.

However, in this policy we also cap the total bandwidth they use to 512Kbps. This traffic is given the second highest priority because upper management wants to ensure they have access to the

streaming media. The final policy covers the entire company for access to the Internet. On this policy we use the entire network, 10.1.10/24, which encompasses both 10.1.1.0/25 (Marketing), and 10.1.1.128/25 (Research Services).We guarantee 512Kbps for this traffic with no cap on how much bandwidth they can use.This traffic has the lowest possible priority. Let us look at the numbers and how the traffic breaks down for availability.

Guaranteed Bandwidth Total guaranteed bandwidth 512Kbps + 512Kbps + 256Kbps = 1280Kbps.The available floating bandwidth 264Kbps is left from the T1 in cases where all of the policies are using the maximum bandwidth.

Maximum Bandwidth Only one policy is configured with maximum bandwidth.This is to ensure that the marketing department does not consume the entire T1.

Traffic Priority The first policy will always get priority over the rest of the policies for any bandwidth remaining after all of the guaranteed bandwidth is used.The other policies will always get their guaranteed bandwidth regardless of the priority. If the first policy does not use the remaining bandwidth, it will first be available to the second policy, followed by the third policy.

Ejemplo 2:

Continuando con el ejemplo 1, ahora los requerimientos de ancho de banda han aumentado y resume de la siguiente manera:

LAN

Area Ingeniería (Research Services): han aumentado la subred a 10.1.1.0/24, necesitan principalmente del protocolo HTTP y HTTPS, asi como en menor medida del protocolo FTP.

Departamento Marketing: se les ha prohibido el acceso a aplicaciones streaming, pero si requiere el uso de internet HTTP y HTTPS. Son menos gente que el área de Ingenieria. La subred que utilizan es 10.1.2.0/25

Area Recursos Humanos: utiliza la subred 10.1.2.128/25. Su principal requirimiento es poder descargar sus documentos via FTP durante el dia.

WAN: La empresa se conecta a un enlace T1:1,544 Mbps.

Las principales políticas creadas en el firewall para maximizar el uso del BW seria:

We continued with the theme of our original policies.The first policy still

allows Research Services to access the Internet with the 512Kbps guarantee.The

second policy allows for Research Services to FTP to the Internet with a 128Kbps

guarantee. Because it is not as important as HTTP and HTTPS, we give FTP less

bandwidth. Both of these policies have their traffic labeled as high priority.

The third policy allows the Marketing department to access the HTTPS and

HTTP protocols.They have fewer people in their department so they require less

bandwidth.We have guaranteed the department 256Kbps of guaranteed bandwidth.

The traffic from the Marketing department is not rated as important as

either the Research Services or Human Resources traffic, but it is deemed more

important than all of the other traffic coming from the company. Because of this

we have given this policy third priority.

The fourth policy is used to address the Human Resources department’s

requirement for FTP.The files for Human Resources are small and require very

little bandwidth.We have guaranteed Human Resources 128 Kbps and have

specified a maximum bandwidth of 128 Kbps.This will ensure that they get the

available bandwidth, but does not allow them to capitalize on the rest of the

available bandwidth.The last policy allows the rest of the company to access the

Internet, guaranteeing them 256 Kbps.This traffic is not required for the company

to function and has been given a low priority.

Guaranteed Bandwidth Total guaranteed bandwidth is 512 Kbps +

128 Kbps + 256 Kbps + 128 Kbps + 256 Kbps = 1280 Kbps.The available

floating bandwidth (264 Kbps) is left from the T1 in cases where all

of the policies are using the maximum bandwidth.

Maximum Bandwidth We have two separate policies with maximum

bandwidth.These policies are used with maximum bandwidth to ensure

that they do not use up all of the available floating bandwidth.

Traffic Priority The first two policies will always get priority over the

rest of the priorities for any bandwidth remaining after all of the guaranteed

bandwidth is used.The Human Resources FTP policy will get

second priority to bandwidth. Since this policy is already guaranteed

bandwidth and the maximum bandwidth it can use is the same, as the

guarantee configuring the priority does not change much because it will

already get the bandwidth guaranteed to it.The Marketing policy will be

able to use any bandwidth left over that the research services team does

not use.The rest of the company gets to use the guaranteed bandwidth of

256 Kbps and gets to use any other bandwidth that is left over.

Configuracion Traffic Shaping

Tenemos que configurar en dos lugares el traffic shaping:

1.- Configurar el Ancho de Banda en la interface que se va a activar el shaping.

2.- Configurar los parámetros de traffic shaping en la política.

Configurar el ancho de Banda en la interface

Facil, se agrega en el campo Bandwith cuando editamos una interfaz. El valor tiene que ser expresado en kbps.

Network / Interfaces / Edit.

Si lo queremos hacer manualmente (1544 kbps) debemos de tiper el comando:

Net-GC > Set interface untrust bandwitch <BW expresado en kbps>

Ejemplo:

Syngress-> get interface untrust

Interface untrust:

number 1, if_info 88, if_index 0, mode route

link up, phy-link up/full-duplex

vsys Root, zone Untrust, vr trust-vr

dhcp client disabled

PPPoE disabled

*ip 214.208.253.9/24 mac 0010.db61.0e01

*manage ip 214.208.253.9, mac 0010.db61.0e01

route-deny disable

ping disabled, telnet disabled, SSH disabled, SNMP disabled

web disabled, ident-reset disabled, SSL disabled

webauth disabled, webauth-ip 0.0.0.0

OSPF disabled BGP disabled RIP disabled

bandwidth: physical 100000kbps, configured 0kbps, current 0kbps

total configured gbw 0kbps, total allocated gbw 0kbps

DHCP-Relay disabled

DHCP-server disabled

Syngress-> set interface untrust bandwidth 1544

Syngress-> get interface untrust

Interface untrust:

number 1, if_info 88, if_index 0, mode route

link up, phy-link up/full-duplex

vsys Root, zone Untrust, vr trust-vr

dhcp client disabled

PPPoE disabled

*ip 214.208.253.9/24 mac 0010.db61.0e01

*manage ip 214.208.253.9, mac 0010.db61.0e01

route-deny disable

ping disabled, telnet disabled, SSH disabled, SNMP disabled

web disabled, ident-reset disabled, SSL disabled

webauth disabled, webauth-ip 0.0.0.0

OSPF disabled BGP disabled RIP disabled

bandwidth: physical 100000kbps, configured 1544kbps, current 0kbps

total configured gbw 0kbps, total allocated gbw 0kbps

DHCP-Relay disabled

DHCP-server disabled

Syngress->

Configuracion en la politica

Configurar traffic shaping es relativamente facil, solo es cuestion de editar la politica e ir en el boton AVANZADO, y especificar los parámetros ya explicados (Bandwidth Garanted, Maximum BW, etc)

Mayo información pagina 228.

Advanced Policy options

Dentro de esta categoría están:

Counting: Muestra una grafica del trafico que se esta aplicando a la política. Puede servir para analizar las políticas de traffic shaping. Se puede habilitar el traffic alarm – te envía via email un aviso cuando excede n cierto limite.Se puden obtener reportes de trafico, alarma de traficos, etc. Mayor información pag 232.

Sheduled: cuando se crea una política, esta se activa automáticamente en el running-config. Se puede deshabilitar manualmente, pero es algo tedioso. Si queremos activarlo en intervalos de tiempo, se utiliza esta opción. El tiempo es basado en la hora del firewall. Se tiene q crear un sheduling object, el cual puede tener una hora o un rango de horas que quiere q la política se aplique.Pasos:

o Crear el sheduling object.o Aplicar el sheduling object a la política.

Comando para ver objetos: Net-GC > get sheduler Autenticacion: puede darse el caso que la ip de un host administrar puede ser falsificado y

luego el impostor puede tener acceso a los recursos, esto porque la política se basa en direcciones IP. Hay dos tipos de autenticación:

o Inline autenticación: Te pide autenticarte con un usario al acceder a los protocolos HTTP, FTP o telnet. Dentro de estas mismas políticas se pueden acceder a otros protocolos.

o WebAuth Authenticacion: Tiene que autenticar su Ip en el firewall.

Para la configuración de la autenticación, dirigirse a la pagina 242. (274 del pdf)

CAPITULO 6

AUTENTICACION

CAPITULO 7

ROUTING

Firewall Netscreen tiene la capacidad de dividir una sola tabla de ruteo en multiples virtual routing.

Un virtual router es un router virtual que tiene todas las características que un router normal.

Virtual routers:

Soporta protocolos de enrutamiento dinámicos, enrutamiento estatico y por defecto.

Por defecto a NetScreen Firewall contiene dos virtual routers, los cuales no pueden ser eliminados: trust-vr y untrust-vr. Se pueden crear mas, pero depende de la plataforma y la licencia respectiva.

Es como si se tuviera trabajando con routers reales.

Creacion:

Via Web: network/ routing / Virtual Routers.Via CLI: los commandos para crear via CLI son:

Net-Gc# get vrouter Para mostrar la lista de router virtualesNet-Gc # set vrouter name <nombre> Para crear un Nuevo router virtual.

Ejemplo:

ns500-> get vrouter* indicates default vrouter for the current vsysA - AutoExport, R - RIP, O - OSPF, B - BGPID Name Vsys Owner Routes Flags1 untrust-vr Root shared 0/max* 2 trust-vr Root shared 1/maxtotal 2 vrouters shown and 0 of them defined by userns500-> set vrouter name Syngress-WANns500-> get vrouter* indicates default vrouter for the current vsysA - AutoExport, R - RIP, O - OSPF, B - BGPID Name Vsys Owner Routes Flags1 untrust-vr Root shared 0/max* 2 trust-vr Root shared 1/max1025 Syngress-WAN Root user 0/maxtotal 3 vrouters shown and 1 of them defined by userns500->

Selección de Rutas:El ruteo se define en base a 3 parametros:

Most Especific: De acuerdo a la subnet declarada en la ruta. Mientras más coincidan los bits, mejor es la ruta.

Route Preference: Es una tabla interna editable, que se basa en el origen de la ruta, las cuales pueden ser conectadas, rip, ospf, etc.

Route Metric: la métrica es el ultimo componente analizado si es que aun coinciden dos rutas. Los valores son:

Conectado: oRutas Staticas: 1

Hay casos en que tanto la métrica como la route preference pueden coincidir.

Para editar los valores de Route preference entrar a Network/Routing/ Virtual Routers.

Via CLI podemos utilizar:

NET-Gc # get vrouter <nombre del vrouter> preference Muestra la tabla de route preference

Ejemplo: (Pag 291)

ns500-> get vrouter Syngress-WAN preference

vrouter Syngress-WAN route preference table

---------------------------------------------

Connected Routes: 0

Static Routes: 20

Auto-exported Routes: 30

Imported Routes: 140

RIP Routes: 100

EBGP Routes: 40

IBGP Routes: 250

OSPF Routes: 60

OSPF External Type-2 Routes: 200

ns500->

ns500-> set vrouter Syngress-WAN preference ebgp 255

ns500-> get vrouter Syngress-WAN preference

vrouter Syngress-WAN route preference table

---------------------------------------------

Connected Routes: 0

Static Routes: 20

Auto-exported Routes: 30

Imported Routes: 140

RIP Routes: 100

EBGP Routes: 255

IBGP Routes: 250

OSPF Routes: 60

OSPF External Type-2 Routes: 200

ns500->

Set Route Metric

Se puede cambiar la métrica al momento de crear una ruta estatica, via web se tiene que ingresar a

Network/ Routing / Routing Entries

Via CLI se aplica el comando:

NET-GC > set route 10.123.2.0/24 interface eth3 metric 20

NET-GC > get route

Route Distribution

El firewall puede redisribuir rutas a otros dispositivos, tanto si son aprendidas en el mismo protocolo o si son de protocolos diferentes.

Para activar este servicio, primero se tienen que configurar dos cosas:

Access list: es para ver si coinciden las direcciones IP. Route Map: es una lista de condiciones que se aplican cuando coincide una dirección IP.

Configurar un Access ListLos Access list se crean en un Virtual Route, pueden ser creados via web o por CLI.Al configurar tiene q tener los siguientes elementos:1. Access List ID: Es un identificador.2. Action: Permit o Deny3. IP address / Netmask: El rango que tiene q coincidir.4. Numero de Secuencia: Es un numero que determina la secuencia en que el Access list es

chequeado.

Para crear via CLI:

Net-GC > set vrouter <Nombre Router Virtual> access-list 10 permit ip 10.10.10.0/24 100

Net-GC > get vrouter <Nombre Router Virtual> access-list

RIP

Configuracion de RIP

OSPF:

Se active por cada Virtual Router. Cada virtual router soporta una instancia de OSPF a la vez.

Pasos:

1. Configurar a virtual router ID2. En una virtual router, crear la instancia OSPF3. Activar la nueva instancia OSPF4. Configurar las network interfaces que va a tener el protocolo OSPF.

Pasos para crear por CLI:Net-GC > Set vrouter trust-vr protocol ospf

Net-GC > Set vrouter trust-vr protocol ospf enableNet-GC > Get vrouter trust-vrNet-GC > set interface Ethernet 3 protocol ospf enableNet-GC > get interface Ethernet 3

Capitulo 8

Netscreen NAT Overview

Source NAT: traduce una direccion IP origen, source Pat traduce un puerto origen.

Capitulo 9

IPSEC: Conjunto de protocolos que proporciona seguridad a la capa de Internet. Consiste de dos protocolos ESP: encapsulaton security payload y AH: autenticación heades

Algunos servicios de IPSEC son:

- Privacidad y confiabilidad de datos.- Autenticación- Integridad de datos- Control de acceso

Modos de IPSEC:- Modo transparente- Modo tunel